FIDO终于想到了干掉密码的方法

这是一项消灭密码（注：本文中的密码指的是口令）的新提议，但这个提议的实际上是把所有的鸡蛋放进一个篮子，一个可称之为OEM的安全篮子。

自2012年成立以来，FIDO联盟一直就在努力消除密码。十年过去了，这一梦想还没有实现，但该组织表示，它终于想出了一种机制，将“首次能够把取代密码成为互联网上主要的身份验证形式”。

FIDO在身份验证创新方面有着悠久的历史，如曾经无处不在的USBKey（现在也在许多安全设置中广泛使用），并且与W3C一起都是WebAuthn安全规范的发布倡导者。但实际上，USBKey与FIDO鼓吹的一条消费品关键规则互相矛盾，“必须在有效的同时，无需额外的设备或带来不便”。这条规则同样适用于企业级的解决方案，用户很难接受任何让他们的工作变得更麻烦的事情。现在，FIDO与W3C共同发布了一个新版本的WebAuthn，并声称它解开了世界与密码的绑定。

FIDO对无密码的最新设想

实际上这么多年来，FIDO针对密码问题的新解决方案就在我们的面前，或者说我们一直在盯着它看--智能手机。

FIDO在新版WebAuthn的白皮书中表示，智能手机是人人都有的终端设备，如今几乎所有消费领域的双因素认证都在使用智能手机。但通用的多因素验证很容易受到钓鱼攻击，如引导受害者在钓鱼网站输入密码，因为受害者无法分辨合法网站和虚假网站的区别。因此，FIDO建议必须彻底消除密码。

要想彻底消除密码，智能手机在其中的作用至关重要。解决思路有两个关键点，一是把手机当做一个可漫游的身份验证设备，二是绑定到特定设备上的加密身份能够在无需密码的情况下迁移到新的设备。具体的技术原理是，借助蓝牙来实现近距离身份验证以及新设备的身份验证，从而无需密码即可切换到新的智能手机。

可以看出，这种无密码身份验证框架严重依赖于移动设备，当然也依赖于底层操作系统的安全性。但FIDO认为，从每一项服务都使用一套基于密码的身份验证的机制，转变成安全性更高的、基于平台的身份验证机制，这种转变可以大幅度地减少对密码的过度依赖。

把安全交给OEM？

FIDO明确表示，WebAuthn的新版白皮书并不是对其标准的改变。相反，“这是我们期望供应商在其身份验证产品中所要改变的”。

白皮书承认，FIDO的提议并不确保将安全性提高到AAL3级别，但仍然比易受到网络钓鱼攻击的，使用明文密码的双因素验证安全性高。因此剩下的关键问题就归结于，大家是否可以将安全性托付给OEM厂商？

FIDO引用了苹果公司采用“Passkeys”的例子，该方案使用iOS生物识别技术和iCloud Keychain公钥来验证身份。对于受支持的应用程序，Passkeys可以在无需键入任何密码的情况下对用户进行身份验证，甚至包括iOS在后台自动填充的密码。

但问题是，大家是否愿意把自身的安全性交给苹果、三星、微软这类的科技巨头？至少目前来看，可能性不大。

转载请注明来自网盾网络安全培训，本文标题：《FIDO终于想到了干掉密码的方法》

标签：智能手机密码口令